Microsoft Entra MFA Regional Opt-In: hoe Microsoft telefonie-MFA per regio beperkt

Microsoft Entra MFA Regional Opt-In: hoe Microsoft telefonie-MFA per regio beperkt

door | 13 mrt, 2026 | Nieuws | 0 Reacties

Microsoft blijft zijn identiteitsbeveiliging verder versterken. Eén van de minder bekende, maar belangrijke beveiligingsmechanismen in Microsoft Entra multifactor authentication (MFA) is het concept Regional Opt-In voor telefonieverificatie.

Dit mechanisme bepaalt vanuit welke landen SMS- of telefonieverificatie voor MFA standaard is toegestaan of juist geblokkeerd. Voor sommige regio’s moet een organisatie expliciet toestemming aanvragen voordat MFA-verificatie via telefoonnummer mogelijk is.

In deze blog leggen we uit wat Microsoft Entra MFA Regional Opt-In is, waarom het bestaat en wat dit betekent voor organisaties die MFA gebruiken in Microsoft 365 en Entra ID.

Wat is Microsoft Entra MFA Regional Opt-In?

Microsoft Entra MFA ondersteunt verschillende verificatiemethoden, zoals pushmeldingen, passkeys, hardware tokens en telefonieverificatie via SMS of voice calls. MFA voegt een extra beveiligingslaag toe door gebruikers meerdere factoren te laten gebruiken bij het inloggen.

Voor telefonieverificatie gelden echter aanvullende beveiligingsmaatregelen. Microsoft kan voor bepaalde landen telefonieverkeer blokkeren of beperken vanwege een verhoogd risico op fraude.

Daarom bestaat het concept Regional Opt-In:

  • Telefonieverificatie is niet automatisch toegestaan voor alle landcodes

  • Sommige landen vereisen handmatige activering via Microsoft Support

  • Dit voorkomt misbruik van MFA-systemen via frauduleuze telefoondiensten

Waarom Microsoft sommige regio’s blokkeert

Telefoniegebaseerde MFA (zoals SMS of voice calls) kan gevoelig zijn voor fraude. Eén van de belangrijkste risico’s is International Revenue Share Fraud (IRSF).

Bij IRSF:

  1. Krijgen aanvallers toegang tot een systeem

  2. Genereren ze grote hoeveelheden MFA-verkeer

  3. Worden oproepen doorgestuurd naar premium-nummers

Dit wordt ook wel traffic pumping genoemd en kan leiden tot:

  • hoge telecomkosten

  • instabiele authenticatiesystemen

  • misbruik van MFA-processen

Microsoft beperkt daarom telefonieverificatie in risicogebieden om frauduleuze activiteiten te voorkomen en klanten te beschermen.

Daarnaast gebruikt Microsoft heuristiek, machine learning en risicogebaseerde signalen om verdachte telefonieactiviteiten te detecteren en te beperken.

Hoe Regional Opt-In werkt

Wanneer een gebruiker MFA via telefoon probeert te gebruiken in een regio die niet standaard ondersteund wordt, kan Microsoft het verkeer blokkeren.

In dat geval moet een beheerder:

  1. Een supportticket bij Microsoft openen

  2. Verifiëren waarom telefonieverificatie nodig is

  3. Specifieke landcodes laten activeren

Pas daarna kan MFA-verificatie via SMS of spraakoproep voor die regio gebruikt worden.

Dit mechanisme helpt Microsoft om:

  • fraude te beperken

  • verdachte telecomroutes te blokkeren

  • MFA betrouwbaarder te maken

Welke regio’s kunnen een opt-in vereisen?

Microsoft publiceert een lijst met landcodes waarvoor telefonieverificatie niet standaard beschikbaar is.

Dit zijn vaak regio’s met:

  • verhoogde telecomfraude

  • premium-nummermisbruik

  • beperkte telecomregulering

Voor organisaties met internationale gebruikers, partners of klanten kan dit betekenen dat MFA via SMS niet altijd automatisch werkt.

Wat betekent dit voor organisaties?

Voor de meeste organisaties is deze instelling nauwelijks merkbaar, omdat de meeste MFA-gebruikers in standaard ondersteunde regio’s zitten.

Toch zijn er scenario’s waarin Regional Opt-In relevant wordt.

1. Internationale gebruikers

Organisaties met medewerkers in minder gangbare regio’s kunnen merken dat SMS-verificatie niet werkt.

2. B2C of External ID scenario’s

Apps met wereldwijde gebruikers (bijvoorbeeld SaaS-platformen) kunnen tegen regionale beperkingen aanlopen.

3. Legacy MFA-methodes

Telefoniegebaseerde MFA wordt steeds minder aanbevolen. Microsoft adviseert organisaties steeds vaker om sterkere methoden zoals authenticator-apps of passkeys te gebruiken.

Waarom authenticator-apps veiliger zijn

Hoewel SMS-MFA nog steeds wordt gebruikt, zijn modernere methoden veiliger.

Voorbeelden:

  • Microsoft Authenticator pushmeldingen

  • Passkeys (FIDO2)

  • Windows Hello for Business

  • hardware security keys

Deze methoden zijn minder kwetsbaar voor telecomfraude en passen beter binnen een Zero Trust-architectuur.

Best practices voor MFA in Microsoft Entra

Om MFA zo veilig mogelijk te maken, raden Microsoft en securityspecialisten aan:

1. Gebruik authenticator-apps als standaard MFA-methode
Pushmeldingen zijn veiliger dan SMS.

2. Verminder afhankelijkheid van telefonie-MFA
SMS en voice calls zijn gevoeliger voor fraude.

3. Controleer internationale gebruikersscenario’s
Zorg dat MFA werkt in alle regio’s waar je organisatie actief is.

4. Gebruik Conditional Access
Hiermee kun je MFA alleen afdwingen bij risicovolle aanmeldingen.

Korte samenvatting MFA en telefoonverificatie

Microsoft Entra MFA Regional Opt-In is een belangrijk maar vaak onbekend beveiligingsmechanisme dat organisaties beschermt tegen telecomfraude.

Kort samengevat:

  • Niet alle landcodes ondersteunen automatisch telefonieverificatie

  • Sommige regio’s vereisen een handmatige opt-in via Microsoft Support

  • Dit helpt fraude en misbruik van MFA-systemen te voorkomen

  • Authenticator-apps en passkeys blijven de veiligste MFA-methoden

Voor organisaties die wereldwijd opereren is het verstandig om MFA-methoden regelmatig te evalueren en modernere authenticatievormen te implementeren.

Lijst met Regiocodes voor MFA in Entra

Region Code Region Name
Afghanistan 93
Albania 355
Algeria 213
American Samoa 1684
Andorra 376
Angola 244
Anguilla 1264
Antarctica 672
Antigua and Barbuda 1268
Argentina 54
Armenia 374
Aruba 297
Ascension 247
Azerbaijan 994
Bahamas 1242
Bahrain 973
Bangladesh 880
Barbados 1246
Belarus 375
Belgium 32
Belize 501
Benin 229
Bermuda 1441
Bhutan 975
Bolivia 591
Bosnia and Herzegovina 387
Botswana 267
British Indian Ocean Territory 246
British Virgin Islands 1284
Brunei 673
Bulgaria 359
Burkina Faso 226
Burundi 257
Cambodia 855
Cameroon 237
Cape Verde 238
Cayman Islands 1345
Central African Republic 236
Chad 235
Chile 56
Comoros 269
Cook Islands 682
Costa Rica 506
Croatia 385
Cuba 53
Curacao, Netherlands Antilles 599
Cyprus 357
Democratic Republic of the Congo 243
Denmark 45
Djibouti 253
Dominica 1767
Dominican Republic 1829
Dominican Republic 1849
Dominican Republic 1809
East Timor 670
Ecuador 593
Egypt 20
El Salvador 503
Equatorial Guinea 240
Eritrea 291
Estonia 372
Ethiopia 251
Falkland Islands 500
Faroe Islands 298
Fiji 679
French Guiana 594
French Polynesia 689
Gabon 241
Gambia 220
Georgia 995
Ghana 233
Gibraltar 350
Greece 30
Greenland 299
Grenada 1473
Guam 1671
Guatemala 502
Guinea 224
Guinea-Bissau 245
Guyana 592
Haiti 509
Honduras 504
Hong Kong 852
Hungary 36
Iceland 354
Indonesia 62
Iran 98
Iraq 964
Israel 972
Ivory Coast 225
Jamaica 1876
Jamaica 1658
Jordan 962
Kenya 254
Kiribati 686
Kosovo 383
Kuwait 965
Kyrgyzstan 996
Laos 856
Latvia 371
Lebanon 961
Lesotho 266
Liberia 231
Libya 218
Liechtenstein 423
Lithuania 370
Luxembourg 352
Macao 853
Macedonia 389
Madagascar 261
Malawi 265
Malaysia 60
Maldives 960
Mali 223
Malta 356
Marshall Islands 692
Martinique 596
Mauritania 222
Mauritius 230
Mayotte, Reunion 262
Micronesia 691
Moldova 373
Monaco 377
Mongolia 976
Montenegro 382
Montserrat 1664
Morocco, Western Sahara 212
Mozambique 258
Myanmar 95
Namibia 264
Nauru 674
Nepal 977
Netherlands 31
New Caledonia 687
New Zealand, Pitcairn 64
Nicaragua 505
Niger 227
Nigeria 234
Niue 683
North Korea 850
Northern Mariana Islands 1670
Norway, Svalbard and Jan Mayen 47
Oman 968
Pakistan 92
Palau 680
Palestine 970
Panama 507
Papua New Guinea 675
Paraguay 595
Peru 51
Philippines 63
Portugal 351
Puerto Rico 1939
Puerto Rico 1787
Qatar 974
Republic of the Congo 242
Russia, Kazakhstan 7
Rwanda 250
Saint Barthelemy, Saint Martin, Guadeloupe 590
Saint Helena 290
Saint Kitts and Nevis 1869
Saint Lucia 1758
Saint Pierre and Miquelon 508
Saint Vincent and the Grenadines 1784
Samoa 685
San Marino 378
Sao Tome and Principe 239
Saudi Arabia 966
Senegal 221
Serbia 381
Seychelles 248
Sierra Leone 232
Slovakia 421
Slovenia 386
Solomon Islands 677
Somalia 252
South Africa 27
South Sudan 211
Sri Lanka 94
Sudan 249
Suriname 597
Swaziland, Eswatini 268
Sweden 46
Syria 963
Taiwan 886
Tajikistan 992
Tanzania 255
Thailand 66
Togo 228
Tokelau 690
Tonga 676
Trinidad & Tobago 1868
Tunisia 216
Turkmenistan 993
Turks and Caicos Islands 1649
Tuvalu 688
U.S. Virgin Islands 1340
Uganda 256
Ukraine 380
United Arab Emirates 971
Uruguay 598
Uzbekistan 998
Vanuatu 678
Venezuela 58
Vietnam 84
Wallis and Futuna 681
Yemen 967
Zambia 260
Zimbabwe 263

 

Bron: https://learn.microsoft.com/en-us/entra/identity/authentication/concept-mfa-regional-opt-in

De ideale digitale werkplek: superveilig werken zonder gedoe bij de gebruiker (2)

De ideale digitale werkplek: superveilig werken zonder gedoe bij de gebruiker (2)

door | 8 jul, 2025 | Blog | 0 Reacties

Werken kan tegenwoordig overal: op kantoor, thuis, onderweg of zelfs op een zonnig terras. Super flexibel natuurlijk, maar het brengt ook risico’s met zich mee. Want hoe zorg je dat jouw medewerkers veilig kunnen werken, zonder dat ze verzanden in ingewikkelde wachtwoordprocedures, onhandige inlogschermen of beveiligingsregels waar niemand wat van snapt?

In deze blog nemen we je mee in hoe je een digitale werkplek veilig én gebruiksvriendelijk maakt. Inclusief slimme oplossingen die veel organisaties (nog) niet kennen.

Slimme Securitytools: Defender, Device Management & Conditional Access

Een veilige digitale werkplek begint bij goede beveiligingsgereedschappen. Gelukkig biedt Microsoft 365 hier al een schat aan mogelijkheden:

  • Microsoft Defender beschermt tegen virussen, ransomware en andere malware

  • Device Management zorgt dat alleen goedgekeurde apparaten toegang krijgen tot jouw bedrijfsdata

  • Conditional Access (voorwaardelijke toegang) bepaalt wie wanneer en vanaf welke locatie toegang krijgt tot apps en data

Het mooie? Dit kan allemaal volautomatisch geregeld worden. Zit je medewerker op kantoor? Dan kan hij zonder extra checks inloggen. Werkt hij ineens vanaf een onbekend apparaat op vakantie? Dan wordt extra authenticatie vereist. Met een slimme inrichting worden deze securitymaatregelen op de achtergrond geregeld. Gebruikers merken er weinig van, maar de beveiliging staat wél als een huis.

Phishing: De grootste bedreiging blijft de gebruiker (maar er is hoop!)

We kunnen het niet vaak genoeg zeggen: de zwakste schakel in cybersecurity is en blijft de gebruiker zelf. En dan vooral bij phishingaanvallen. Klikt een medewerker per ongeluk op een foute link? Dan kan dat grote gevolgen hebben, van datalekken tot complete bedrijfssabotage. Gelukkig zijn er steeds slimmere oplossingen om medewerkers bewust te maken van online gevaren. Lemontree heeft een AI-gedreven security awareness-training die zich automatisch aanpast aan het niveau en de dagelijkse taken van iedere gebruiker. De training:

  • Simuleert realistische phishingaanvallen

  • Geeft directe feedback en praktische tips

  • Maakt medewerkers steeds bewuster, zonder ze te overspoelen met theorie

Zo wordt securitytraining leuk, effectief en relevant.

Veilig Inloggen Zonder gedoe: SSO, MFA & OneDesk Mobile

Veilig inloggen is essentieel, maar niemand wil de hele dag gehannes met wachtwoorden en verificatiecodes. Gelukkig kan het tegenwoordig stukken slimmer. Met Single Sign-On (SSO) en Multi-Factor Authenticatie (MFA) via OneDesk Mobile loggen medewerkers in met hun Microsoft-account. Op basis van Conditional Access wordt automatisch bepaald welke extra stappen nodig zijn.

Het resultaat:

  • Eén keer veilig inloggen

  • Geen wachtwoordstress of eindeloze authenticator-promptjes

  • Volledige controle over wie toegang heeft tot welke apps en informatie

OneDesk Mobile regelt dit allemaal op de achtergrond. Gebruikers zien alleen de apps en tools die voor hen relevant zijn en kunnen zonder gedoe aan het werk. Alles veilig geregeld.

Veilig printen: Cloud Printing zonder stress

Printen lijkt misschien ouderwets, maar het is nog steeds een risico in veel organisaties. Documenten blijven liggen op printers, en voor je het weet heeft de verkeerde persoon een vertrouwelijk rapport in handen. Daarom hoort veilig printen ook bij een moderne werkplek. OneDesk Mobile integreert met slimme cloud printing-oplossingen:

  • Je printopdracht wordt pas uitgevoerd als je fysiek bij de printer staat

  • Je identificeert jezelf eenvoudig met je telefoon of badge

  • Documenten worden nooit onbeheerd achtergelaten

Dit voorkomt niet alleen datalekken, maar zorgt er ook voor dat printen naadloos past in een moderne digitale werkplek.

Aanvullende Security-eisen voor een Moderne Werkplek

Naast bovenstaande oplossingen zijn er nog enkele essentiële security-eisen voor een veilige werkplek anno nu:

  • Encryptie van data (zowel tijdens opslag als tijdens verzending)

  • Automatische software-updates op alle apparaten en apps

  • Zero Trust-beleid: standaard géén toegang, tenzij expliciet toegestaan

  • Monitoring & logging van verdachte activiteiten (bijvoorbeeld via Microsoft Sentinel)

  • Duidelijke exit procedures voor medewerkers die uit dienst gaan (directe intrekking van toegang)

Met deze maatregelen wordt jouw werkplek niet alleen veilig, maar ook compliant met alle belangrijke wet- en regelgeving, zoals AVG/GDPR en NIS2.

De conclusie: Slim werken is veilig werken

De tijd van ‘veiligheid versus gebruiksgemak’ is voorbij. Met slimme een slimme oplossing als OneDesk en AI-gedreven trainingen kun je veiligheid en gebruiksgemak perfect combineren.

Een veilige werkplek:

  1. Beveiligt apparaten en toegang tot data automatisch

  2. Helpt medewerkers slim om te gaan met phishing

  3. Biedt inloggen zonder gedoe, maar mét controle

  4. Maakt printen veilig én praktisch

  5. Voldoe je direct aan de strengste security-standaarden

 

Preview op Deel 3

In deel 3  van deze serie duiken we dieper in:

  • De kracht van een goede bedrijfszoekmachine

  • Slim informatie terugvinden met OneDesk Mobile

  • Persoonlijke dashboards met Power BI-integraties

  • Praktijkvoorbeelden van productiviteitsslagen

Zo ontdek je hoe je écht álle informatie binnen handbereik krijgt en grip houdt op de digitale chaos.

Meer weten over OneDesk Mobile?

Wil je meer weten over OneDesk Mobile kijk dan eens op de OneDesk Mobile pagina of op de pagina met demo’s. Of maak gewoon een afspraak, wel zo leuk en dan laten we je heel graag zien wat je allemaal kunt met OneDesk Mobile.

Ga naar deel 3

Het belang van professioneel beheer van uw Microsoft-tenant

Het belang van professioneel beheer van uw Microsoft-tenant

door | 25 dec, 2023 | Blog | 0 Reacties

De Microsoft-tenant vormt het hart van uw digitale werkomgeving. Binnen deze tenant worden alle gebruikers, apparaten, applicaties en beveiligingsinstellingen beheerd. Het optimaal inrichten en onderhouden van een Microsoft-tenant vraagt echter om specialistische kennis. Zonder goed beheer loopt u risico’s op het gebied van security, compliance en productiviteit.

Complexiteit van tenantbeheer

Een Microsoft-tenant is geen statisch systeem. Microsoft brengt voortdurend nieuwe functionaliteiten, beveiligingsupdates en beleidsregels uit. Dit betekent dat uw IT-omgeving continu in beweging is. Denk aan het instellen van gebruikersrechten, het beheren van licenties en het monitoren van security policies. Zonder up-to-date kennis kan dit leiden tot verkeerde configuraties of zelfs beveiligingslekken.

Security als fundament

Beveiliging staat centraal bij het beheer van een Microsoft-tenant. Zaken zoals Multi-Factor Authentication (MFA), Conditional Access en het correct instellen van rollen en rechten zijn cruciaal.

Met Conditional Access kunt u beveiligingsbeleid dynamisch toepassen op basis van context, zoals de locatie, het apparaat of de identiteit van een gebruiker. Zo kunt u bijvoorbeeld toestaan dat medewerkers vanaf kantoor direct toegang hebben tot bedrijfsdata, maar extra verificatie vereisen bij toegang vanaf een onbekend apparaat. Dit minimaliseert de kans op ongeautoriseerde toegang en maakt security een integraal onderdeel van het dagelijks werken.

Microsoft Entra ID als spil in identiteitsbeheer

Identiteitsbeheer is de sleutel tot veilige toegang. Microsoft Entra ID (voorheen Azure Active Directory) speelt hierin een cruciale rol. Binnen Entra ID worden alle identiteiten beheerd en gecontroleerd. Het koppelt gebruikers aan de juiste applicaties en zorgt ervoor dat alleen geautoriseerde personen toegang hebben tot gevoelige data. Bovendien ondersteunt Entra ID Zero Trust-principes door elk toegangspoging te valideren, ongeacht waar de gebruiker zich bevindt.

Intune en device management

In een moderne werkomgeving werken medewerkers vaak op meerdere apparaten en locaties. Met Microsoft Intune kunt u centraal apparaten beheren en beveiligingsbeleid afdwingen. Dit zorgt ervoor dat laptops, tablets en smartphones altijd voldoen aan de bedrijfsrichtlijnen. Denk hierbij aan automatische updates, encryptie en remote wipe bij verlies of diefstal. Intune helpt niet alleen om de veiligheid te waarborgen, maar verhoogt ook de productiviteit doordat medewerkers overal veilig kunnen werken.

Belangrijke beheertaken

Naast security, Conditional Access en identiteitsbeheer zijn er tal van andere essentiële taken binnen tenantbeheer:

  • Het beheren van gebruikers en groepen, inclusief lifecycle management.

  • Het toewijzen en optimaliseren van Microsoft 365-licenties.

  • Het configureren van Exchange Online, SharePoint en Teams om samenwerking soepel en veilig te laten verlopen.

  • Het monitoren en rapporteren van gebruik, security alerts en compliance status.

Dit vraagt om een structurele aanpak en continue aandacht.

Lemontree helpt graag met het inrichten en beheren van uw Microsoft tenant

Het beheren van een Microsoft-tenant is een complexe en kritieke taak die directe impact heeft op de veiligheid en continuïteit van uw organisatie. Security, Conditional Access, Microsoft Entra ID, Intune en device management vormen samen een stevig fundament dat niet mag wankelen.

Lemontree heeft zeer veel kennis en ervaring in het inrichten en beheren van Microsoft-tenants. Wij beschikken over certificeringen op het vlak van Modern Work, Security, ISAE3402 en ISO 27001. Daarmee bent u verzekerd van een veilige en optimaal ingerichte tenant die meegroeit met de ontwikkelingen van Microsoft. Lemontree helpt klanten graag bij het realiseren van een veilige, moderne en toekomstbestendige werkplek.